CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2024-9863
Critical

Wtyczka Miniorange OTP Verification with Firebase dla WordPressa jest podatna na eskalację uprawnień w wersjach do 3.6.0 włącznie, z powodu niebezpiecznej domyślnej wartości 'administrator' dla opcji 'default_user_role'. Umożliwia to nieautoryzowanym atakującym rejestrację użytkownika z uprawnieniami administratora, nawet jeśli formularz rejestracji jest wyłączony.

CVE-2024-9893
Critical

Wtyczka Nextend Social Login Pro dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do 3.1.14 włącznie. Problem wynika z niewystarczającej weryfikacji użytkownika zwracanego przez token logowania społecznościowego.

CVE-2024-49260
Critical

Wtyczka WordPress Gallery Plugin – Limb Image Gallery w wersjach od n/a do 1.5.7 zawiera podatność na nieograniczone przesyłanie plików z niebezpiecznym typem, co umożliwia wstrzykiwanie kodu. Problem ten dotyczy wtyczki limb-gallery.

CVE-2024-49254
Critical

W podatności CVE-2024-49254 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości wstrzyknięcia kodu w bibliotece ajax-extend w wersjach od n/a do 1.0. Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanego kodu.

CVE-2024-49242
Critical

Podatność CVE-2024-49242 w systemie Shafiq Digital Lottery umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na przesłanie powłoki sieciowej na serwerze WWW. Problem dotyczy wersji Digital Lottery od n/a do 3.0.5 włącznie.

CVE-2024-49227
Critical

Podatność CVE-2024-49227 dotyczy deserializacji niezaufanych danych w aplikacji Foter Free Stock Photos, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji od n/a do 1.5.4 włącznie.

CVE-2024-49218
Critical

Podatność CVE-2024-49218 dotyczy deserializacji nieufnych danych w wtyczce Recently dla WooCommerce, co umożliwia wstrzyknięcie obiektów. Problem ten występuje w wersjach od n/a do 1.1.

CVE-2024-49216
Critical

Podatność CVE-2024-49216 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Feed Comments Number, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji od n/a do 0.2.1 włącznie.

CVE-2024-48035
Critical

Podatność CVE-2024-48035 dotyczy wtyczki ACF Images Search And Insert, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co stwarza poważne zagrożenie dla bezpieczeństwa.

CVE-2024-48034
Critical

Podatność CVE-2024-48034 dotyczy aplikacji fliperrr, która umożliwia nieograniczone przesyłanie plików z niebezpiecznymi typami. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.

CVE-2024-48030
Critical

W podatności CVE-2024-48030 występuje problem deserializacji niezaufanych danych w aplikacji Webextends Telecash Ricaricaweb, co umożliwia wstrzyknięcie obiektów. Dotyczy to wersji Telecash Ricaricaweb od n/a do 2.2 włącznie.

CVE-2024-48028
Critical

Podatność CVE-2024-48028 dotyczy deserializacji niezaufanych danych w aplikacji IP Loc8 autorstwa Boyana Raicheva, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji IP Loc8 od n/a do 1.1 włącznie.

CVE-2024-48027
Critical

Podatność CVE-2024-48027 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki 'External featured image from bing'. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.

CVE-2024-48026
Critical

Podatność na deserializację niezaufanych danych w GMRobbins Disc Golf Manager umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Disc Golf Manager od n/a do 1.0.0 włącznie.

CVE-2024-47649
Critical

Podatność CVE-2024-47649 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki THATplugin Iconize. Problem ten występuje w wersjach Iconize od n/a do 1.2.4 włącznie.

CVE-2024-49271
Critical

Podatność CVE-2024-49271 dotyczy deserializacji niezaufanych danych w wtyczce Unlimited Elements For Elementor, co umożliwia wykonanie ataku typu Command Injection. Problem ten występuje w wersjach od n/a do 1.5.121.

CVE-2024-49257
Critical

Podatność CVE-2024-49257 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji Azz Anonim Posting, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Azz Anonim Posting od n/a do 0.9 włącznie.

CVE-2024-49247
Critical

Podatność CVE-2024-49247 dotyczy wtyczki BuddyPress Better Registration w wersjach od n/a do 1.6, umożliwiając obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał. Wykorzystanie tej luki może prowadzić do nieautoryzowanego dostępu do systemu.

CVE-2024-48042
Critical

Podatność CVE-2024-48042 dotyczy deserializacji niezaufanych danych w wtyczce Contact Form by Supsystic, co umożliwia wstrzyknięcie poleceń. Problem ten dotyczy wersji wtyczki od n/a do 1.7.28.

CVE-2023-32191
Critical

Podatność CVE-2023-32191 dotyczy sposobu, w jaki RKE przechowuje stan klastra w configmapie o nazwie `full-cluster-state` w przestrzeni nazw `kube-system`. Informacje te mogą być wykorzystane przez użytkowników nieposiadających uprawnień administratora do eskalacji swoich uprawnień do poziomu administratora.

PreviousPage 311 of 576Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS